Para información más detallada por favor revise su suscripción ante el CSIRT.
Nueva campaña de grupo APT SilverFox fortalece ValleyRAT con evasión y persistencia
Publicado: 05/07/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña asociada a ValleyRAT en la cual el malware presenta una evolución significativa frente a variantes tradicionales de troyanos de acceso remoto. En esta campaña ValleyRAT no se limita a permitir control remoto sobre el sistema comprometido, sino que actúa como una plataforma modular capaz de coordinar múltiples etapas de ejecución, evasión, persistencia y ampliación de capacidades.
Nueva actividad de Armored Likho incorpora BusySnake Stealer para fortalecer campañas de ciberespionaje
Publicado: 05/07/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva campaña atribuida al grupo Armored Likho, un actor de amenazas previamente no documentado que mantiene operaciones de ciberespionaje dirigidas principalmente contra Rusia, Brasil y Kazajistán.
Nueva campaña ClickFix emplea páginas fraudulentas de Google y Cloudflare para distribuir malware
Publicado: 04/07/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña activa basada en la técnica ClickFix, en la que los ciberdelincuentes suplantan páginas de verificación de Google y Cloudflare para inducir a las víctimas a ejecutar manualmente comandos maliciosos de PowerShell.
Nueva actividad del framework Avalon expone credenciales y despliega el ransomware CrownX
Publicado: 04/07/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad asociada al framework malicioso identificado como Avalon, cuyo componente de ransomware es CrownX.
Nueva campaña de troyano bancario Anatsa se distribuye mediante aplicación falsa en Google Play
Publicado: 03/07/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña asociada a Anatsa, también conocida como TeaBot, un troyano bancario dirigido a dispositivos Android. Esta amenaza se encuentra orientada al compromiso de usuarios mediante técnicas enfocadas en la captura de credenciales, interceptación de mensajes y manipulación de la interacción del usuario con aplicaciones legítimas.
Nuevo infostealer PamStealer para macOS valida contraseñas antes de exfiltrarlas
Publicado: 02/07/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad del infostealer PamStealer, una amenaza para macOS distribuida bajo la apariencia de Maccy, un gestor de portapapeles legítimo y de código abierto ampliamente utilizado en ese sistema operativo.
Nuevo RAT denominado ChocoPoC compromete a investigadores de vulnerabilidades
Publicado: 01/07/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña que distribuye el troyano de acceso remoto (RAT) ChocoPoC, desarrollado en Python y dirigido a investigadores de vulnerabilidades y profesionales de pruebas de penetración a través de repositorios de GitHub que ofrecen pruebas de concepto (PoC) troyanizadas para vulnerabilidades críticas recientemente divulgadas.
Nueva campaña del malware bancario Ousaban emplea ingeniería social y C2 ofuscado
Publicado: 01/07/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña asociada a Ousaban también conocido como Javali, un troyano bancario desarrollado en Delphi y vinculado al ecosistema Tetrade, conjunto de familias de amenazas financieras originadas en Latinoamérica.
Nueva campaña de The Gentlemen combina backdoor en Go, movimiento lateral y cifrado de archivos
Publicado: 30/06/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña asociada a The Gentlemen un grupo de ransomware que opera bajo el modelo RaaS y que ha incrementado su actividad. La campaña destaca por el uso combinado de herramientas legítimas, componentes personalizados y técnicas avanzadas para ampliar el impacto.
Nueva amenaza denominada RustDuck opera como botnet de dos etapas orientada a ataques DDoS
Publicado: 30/06/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad de la botnet RustDuck, una amenaza que opera bajo una arquitectura de dos etapas conformada por un loader y un componente núcleo (Core), orientada principalmente a la ejecución de ataques de denegación de servicio distribuido (DDoS). Aunque su nivel de actividad actual no alcanza aún el de las botnet más consolidadas, su ritmo de evolución técnica resulta significativo y sostenido en el tiempo.
Nuevo malware para Android denominado Glitch SPY
Publicado: 30/06/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva familia de malware para Android denominada Glitch SPY, distribuida a través de un sitio web fraudulento que suplanta una plataforma polaca.
Campaña explota falla de autenticación en SimpleHelp para desplegar TaskWeaver y Djinn Stealer
Publicado: 29/06/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente campaña que aprovecha una falla de autenticación en SimpleHelp, plataforma legítima de administración remota (RMM), para obtener acceso administrativo sin contar con credenciales reales.
Millenium RAT incrementa su actividad global mediante campañas de distribución
Publicado: 28/06/2026 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado una evolución de Millenium RAT, una herramienta de acceso remoto (RAT) desarrollada en C++ que utiliza la API de Telegram como infraestructura de C2 y se comercializa bajo un modelo Malware-as-a-Service (MaaS).
Nueva actividad de la botnet Mirai incorpora nuevos exploits contra dispositivos IoT
Publicado: 28/06/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó nueva actividad de la botnet Mirai, la cual continúa siendo una de las amenazas más relevantes para los entornos IoT, casi una década después de su aparición inicial.
Nueva campaña denominada Operation DragonReturn despliega DcRAT mediante campañas tributarias
Publicado: 27/06/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña de ciberespionaje denominada Operation DragonReturn. La operación se encuentra dirigida principalmente contra contribuyentes, empresas, contratistas gubernamentales, consultores tributarios y equipos financieros de la India, aprovechando el periodo de presentación de declaraciones fiscales para distribuir una variante altamente evasiva del troyano de acceso remoto DcRAT.
Puerta trasera macOS.Gaslight introduce inyección de instrucciones para sabotear el análisis automatizado con LLM
Publicado: 27/06/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad de la puerta trasera macOS.Gaslight, una amenaza escrita en Rust que combina capacidades de exfiltración de datos y acceso remoto interactivo con una técnica orientada a interferir con los flujos de análisis automatizado que incorporan modelos de lenguaje de gran escala (LLM, por sus siglas en inglés).
Nueva campaña de phishing abusa de GitHub Pages y Google Sheets para comprometer clientes bancarios
Publicado: 26/06/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña de phishing a gran escala denominada GitBait, orientada a la captura de credenciales bancarias de clientes pertenecientes al sector financiero en México.
Backdoor.Mistic: Puerta trasera utilizada como herramienta de acceso inicial para afiliados de ransomware
Publicado: 26/06/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad de Backdoor.Mistic, una puerta trasera con características de troyano de acceso remoto identificada a partir de abril de 2026 en intrusiones contra redes corporativas.
LokiBot utiliza inyección de procesos y captura de credenciales
Publicado: 25/06/2026 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado una campaña que utiliza LokiBot, un stealer activo desde hace más de una década que continúa siendo empleado por ciberdelincuentes para capturar credenciales e información sensible.
Nueva campaña de StrikeShark despliega Cobalt Strike Beacon mediante SharkLoader para comprometer sistemas Windows
Publicado: 24/06/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña maliciosa denominada StrikeShark, en la cual se emplea una nueva familia de malware identificada como SharkLoader. Esta amenaza funciona como un cargador orientado a desplegar Cobalt Strike Beacon en sistemas comprometidos.
Nueva campaña asociada a Dropping Elephant utiliza carga lateral de DLL y PowerShell
Publicado: 24/06/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña maliciosa asociada a Dropping Elephant, en la cual se emplea una cadena de carga orientada a desplegar un RAT evasivo en sistemas Windows, que no se ejecuta de forma directa, sino que utiliza diferentes etapas para descargar, preparar y cargar el malware directamente en memoria.
Actores de amenaza vinculados a Payouts King despliegan Backdoor Edgecution
Publicado: 23/06/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad del backdoor Edgecution, desplegado por un intermediario de acceso inicial con vínculos al ransomware Payouts King.
Nuevo loader llamado OXLOADER utiliza secciones PE modificadas para ocultar shellcode y malware
Publicado: 22/06/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una nueva familia de cargador de malware denominada OXLOADER, utilizada para distribuir el infostealer CASTLESTEALER mediante campañas de malvertising que aprovechan anuncios fraudulentos en motores de búsqueda.
Nueva campaña usa WhatsApp para instalar software para acceso remoto no autorizado
Publicado: 22/06/2026 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado una campaña que utiliza cuentas de WhatsApp comprometidas para distribuir archivos VBScript que simulan documentos financieros y empresariales legítimos.
Nueva campaña de ransomware Prinz Eugen vinculada a infraestructura C2 y exfiltración de datos
Publicado: 21/06/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña asociada a Prinz Eugen, una familia reciente de ransomware desarrollada en Go, orientada al cifrado de archivos, afectación de información crítica y extorsión mediante canales externos al sistema comprometido.
Nueva actividad asociada a QuasarRAT
Publicado: 20/06/2026 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado actividad reciente relacionada con QuasarRAT, un troyano de acceso remoto (RAT) utilizado por ciberdelincuentes y grupos APT para obtener acceso no autorizado a equipos Windows. Esta amenaza permite el control remoto de sistemas comprometidos, la captura de información sensible y la ejecución de acciones arbitrarias mediante comunicaciones cifradas con un C2.
Nueva actividad de Gentlemen evidencia el uso de múltiples variantes EDR Killer
Publicado: 20/06/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observaron nuevas capacidades de evasión empleadas por Gentlemen, una operación de ransomware como servicio (RaaS) que se ha consolidado como una de las más activas durante 2026.
Nueva actividad de Vidar incorpora inyección APC para eludir el cifrado de aplicación de Chrome
Publicado: 19/06/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad del infostealer Vidar, en la que sus operadores incorporaron una técnica para eludir el mecanismo de cifrado de aplicación (Application-Bound Encryption, ABE) implementado por Google Chrome desde 2024.
Nueva actividad de Crypto Clipper utiliza Tor y propagación tipo gusano para mantener persistencia
Publicado: 19/06/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña maliciosa orientada a la captura de criptomonedas mediante el uso de un Crypto Clipper para sistemas Windows.
Nueva actividad de inc ransomware consolida cifrado multiplataforma y extracción de credenciales en infraestructuras de respaldo
Publicado: 18/06/2026 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una reciente actividad de INC Ransomware, una operación de tipo ransomware como servicio, que ha comprometido más de 800 organizaciones desde su aparición en 2023.